Fukushima

„Menschliches Versagen“ ist Auslegungssache

Wer die Zuspitzung der Situation im Kernkraftwerk Fukushima 1 verfolgte, konnte Zweifel an der Beherrschbarkeit der Situation bekommen. Denn der Mensch kann nur bedingt auf eine solche Flut an Störungen und Alarmen reagieren. Das gilt für Kraftwerke ebenso wie für Chemieanlagen oder Flugzeugcockpits. In heutigen Systemen kann dies durch ein Alarmmanagement berücksichtigt werden, sofern die Stromversorgung steht.

Fukushima verdeutlicht die Anfälligkeit des "Faktors" Mensch.

Fukushima verdeutlicht die Anfälligkeit des "Faktors" Mensch.

Foto: TEPCO

Wie eine unter normalen Umständen beherrschbare Situation nach und nach außer Kontrolle geraten kann, zeigen seit dem 11. März die Ereignisse im japanischen Kernkraftwerk Fukushima-Daiichi. Im Mittelpunkt steht dabei der Mensch, der schließlich nur noch eingeschränkt reagieren kann. Dabei ist die Theorie längst bekannt: „Das Alarmmanagement verlangt zunächst eine Ausrichtung an den mentalen Modellen der Benutzer“, erklärte dazu Prof. Oliver Sträter vom Fachgebiet Arbeits- und Organisationspsychologie der Universität Kassel gegenüber den VDI nachrichten. Im Alarmfall erfolge die Kontrolle von Alarmen in Abgleich mit den mentalen Modellen Reizüberflutungen führen in diesem Fall dazu, dass unpassende Information weggelassen wird, schlimmstenfalls entwickelt sich ein Tunnelblick auf Einzelaspekte der Störung.

„Ähnliches muss sich in Fukushima abgespielt haben, denn der Block 2 – der nun offensichtlich ein Leck im Containment hat – war eigentlich der einzige Block, der zumindest 50  h im Nachkühlbetrieb war“, sagte Sträter, der seit 2003 der deutschen Untergruppe Reaktorbetrieb der Reaktor-Sicherheitskommission (RSK) angehört.

In Fukushima kamen wichtige psychologische Aspekte zusammen

Bei Fukushima kamen, so Sträter, eine Reihe von wichtigen psychologischen Aspekten zusammen: „Zunächst ist dies ein auslegungsüberschreitendes Ereignis gewesen, mit drastischen Kontextbedingungen: Privates Umfeld zerstört, Nachbarblöcke zerstört und Unklarheit, was mit den eigenen Familien und dem Zuhause ist.“ All dies vermindere die rationale Aufnahmefähigkeit und verstärke die emotionale Steuerung, wodurch es zur Fixation auf einzelne Vorgänge im Aufgabenbereich kommen könne.

Fukushima verdeutlichte laut Sträter zwei bedeutende Aspekte: “ Zunächst zeigt sich, dass die derzeit auch in Deutschland anerkannten Methoden der menschlichen Zuverlässigkeitsbewertung – dem Human Reliability Assessment, HRA – für den Notfallbereich untauglich sind.“ Beispielsweise werde in Deutschland das Verfahren „Human Cognitive Reliability“ (HCR ) verwendet, welches einen Zeit-Zuverlässigkeits-Zusammenhang annimmt und die psychologischen Eigenschaften der Informationsverarbeitung ignoriere. Das Defizit dieser Methode sei seit Jahrzehnten in Deutschland bekannt.

Zudem zeige das Ereignis in Japan, dass Methoden der menschlichen Zuverlässigkeitsbewertung auch die Zuverlässigkeit bei der Erstellung der Auslegungskriterien berücksichtigen müsse. „Hier sind die sicherheitstechnischen und betriebswirtschaftlichen und auch behördlichen Gestaltungskriterien besser miteinander abzustimmen“, machte Sträter deutlich.

In diesem Zusammenhang wurde kurz nach dem Unglück auf der 434. Sitzung der Reaktor-Sicherheitskommission für die deutschen Kernkraftwerke ein Anforderungskatalog veröffentlicht. Die dort enthaltenen Empfehlungen beziehen sich direkt auf die in Fukushima beobachteten Problembereiche, wie wetterbedingte Ereignisse und deren Überlagerungen sowie daraus resultierende lang anhaltende Stromausfälle. Eine abstrahierende Übertragung der Erkenntnisse, wie mit dem prinzipiellen Problem eines Restrisikos sowohl auf betrieblicher als auch auf behördlicher Seite umzugehen ist, fehle laut Sträter.

Störungen im Betriebsablauf sind in der Regel nicht so dramatisch wie in Fukushima

Meist sind die Störungen im Betriebsablauf zwar nicht so dramatisch wie nun in Japan, dennoch besteht in Großanlagen öfter als nötig die Gefahr des „menschlichen Versagens“. Carsten Risch, Leitsystemspezialist bei ABB Automation in Mannheim, kennt die Praxis: „Bediener müssen tendenziell immer größere Bereiche betreuen. Dadurch werden mehr Alarme angezeigt. Das führt dazu, dass sie vom Bediener irgendwann einfach weggedrückt werden.“ Zudem würden bei der Inbetriebnahme bewusst viele Meldungen erzeugt, deren Einstellungen später nicht immer „aufgeräumt“ würden.

Nach Angaben von Überwachungssystemanbieter Matrikon, Edmonton/Kanada, liege die durchschnittliche Zahl der Alarme pro Tag mit 1500 in der Petrochemie und 2000 in der Stromerzeugung deutlich über der Empfehlung der Anwendervereinigung EEMUA (Engineering Equipment and Materials User Association), London. Laut Risch ist es daher wichtig, die Alarmgrenzen sinnvoll festzulegen und damit die Alarmrate sukzessive zu senken.

Risch rät allerdings davon ab, Alarme z. B. bei Wartungsarbeiten einfach abzuschalten, weil die Gefahr bestehe, dass diese nicht wieder aktiviert werden. Mit Systemfunktionen der Leittechnik könne dem vorgebeugt werden. So werde beim „Alarmshelving“ ein bestimmter Zeitraum bis zur automatischen Reaktivierung festgelegt. Mit dem „Alarmhiding“ ließen sich dagegen z. B. beim Hoch- und Runterfahren einer Anlage Alarme durch Übergangszustände temporär unterdrücken.

Alarmmanagement könnte Katastrophen wie in Fukushima verhindern

Das Alarmmanagement ist daher für Risch eine Option, die immer häufiger genutzt werde. Das Spektrum reiche von einfachen Tabellen bis hin zu High-Performance-Visualisierung. Auch eine Kaskadierung von Alarmen sei möglich, um Folgealarme von einem anderen Alarm gezielt zu unterdrücken. Risch dazu: „Das muss aber vom Kunden gewollt sein und wird dann bereits im Engineering festgelegt.“

Unterstützung erhält er dabei von Dieter Westerkamp, Geschäftsführer der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA), Düsseldorf: „Bei großen Anlagen ist es sehr wichtig, sich bereits in der Planungsphase dem Thema Alarmmanagement zu widmen, denn hier erfolgt die Festlegung der Alarme, deren Priorisierung und wie damit im Einzelfall umzugehen ist.“ Wichtig sei zudem die Langzeitbeobachtung des Auftretens von Alarmen im Betrieb. Hier ließen sich durch Betriebserfahrungen noch weitere Meldungen und Alarme durch situationsbezogene Unterdrückung, Alarmgruppierung und Filterung reduzieren.

Dass Anlagen, die teilweise älter als 20 Jahre sind, mit modernem Alarmmanagement nachgerüstet werden, hält Rainer Hofmann von ABB Automation allerdings für unwahrscheinlich. „Da prallen zu unterschiedliche EDV-Standards aufeinander.“ Eine solche Nachrüstung sei nur im Falle einer Migration der Automatisierungsanlage auf den aktuellen Stand der Technik sinnvoll.

Von Martin Ciupek

Stellenangebote im Bereich Arbeitssicherheit

Universitätsklinikum Würzburg-Firmenlogo
Universitätsklinikum Würzburg Sicherheitsingenieur (w/m/d) Würzburg
Ciba Vision GmbH-Firmenlogo
Ciba Vision GmbH Fachkraft für Arbeitssicherheit / HSE Specialist (m/w/d) Großwallstadt
Handwerkskammer für Schwaben-Firmenlogo
Handwerkskammer für Schwaben Technologieberater (m/w/d) Augsburg
Total Deutschland GmbH-Firmenlogo
Total Deutschland GmbH Sicherheitsingenieur (m/w/d) Leuna
Giesecke+Devrient Currency Technology GmbH-Firmenlogo
Giesecke+Devrient Currency Technology GmbH Sicherheitsingenieur (m/w/d) Arbeitssicherheit Leipzig
Evonik Technology & Infrastructure GmbH-Firmenlogo
Evonik Technology & Infrastructure GmbH Sachverständiger (m/w/d) Druckanlagen Zugelassene Überwachungsstelle Marl
SSS Nelken GmbH-Firmenlogo
SSS Nelken GmbH Ingenieur für Arbeitssicherheit (m/w/d) Essen
Knauf Gips KG-Firmenlogo
Knauf Gips KG HSE-Manager (m/w/d) Iphofen (Raum Würzburg)
AbbVie Deutschland GmbH & Co. KG-Firmenlogo
AbbVie Deutschland GmbH & Co. KG EHS Specialist als Sicherheitsfachkraft (m/w/d) Ludwigshafen am Rhein
Hydro Aluminium Rolled Products GmbH-Firmenlogo
Hydro Aluminium Rolled Products GmbH Sicherheitsingenieur (m/w/d) Arbeitsschutz Grevenbroich

Alle Arbeitssicherheit Jobs

Top 5 Arbeitssicher…